Hallo!
Mir hatte Antivir heute folgendes angezeigt:

In der Datei 'C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bifrose.beg' [backdoor] gefunden.

Nachdem ich ein bisschen gegoogelt hab und mich in diverse Foren eingelesen hab, ist Bifrose wohl gar nichts nettes...

Kann ich Glück haben und der Virus ist vtl noch nicht aktiv gewesen? Wie kann ich das überprüfen?

Und eine andere Frage: Warum hat mir Antivir nicht schon vorher angeschlagen, ich hatte erst vor drei Tagen eine komplette Systemprüfung und da hat er nix gefunden... :-(

Viele Grüße

Martina

hallo, abcmartina,
lade dir hier bitte
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die hijackthis.exe in abc.exe um,
dann
- do a system scan and save a logfile
und dann poste das log.

dann bitte per kopieren/einfügen (nicht durchsuchen)
das

Zitat:

C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wuauct.exe

bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten lassen und das komplette ergebnis posten.

Vielen Dank für die schnelle Antwort!

Hier ist das log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

hallo, die malware ist aktiv:

Zitat:

O4 - HKCU\..\Policies\Explorer\Run: [waults] C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe

bitte diese datei

Zitat:

C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe

bei virustotal auswerten lassen und das komplette ergebnis posten.

Ok, habe die entsprechende Datei überprüfen lassen..
Das Ergebnis ist an meinem letzten Post angehängt...
Sorry für das durcheinander..
und vielen vielen Dank für die Hilfe!!

Kann ich mich denn jetzt irgendwo einloggen, hat der Virus eh schon alle Passwörter oder bringt es etwas, wenn ich das einloggen sein lasse?

sorry, daß ich erst jetzt antworte. ich mußte noch einmal kurz weg.

das vt-ergebnis ist leider das, was ich erwartet habe.
der wurm steht im zusammenhang mit dem bifrose.
diese kombination könntest du dir durch einen verseuchten stick, externe hd etc. auf deinen rechner geholt haben.
ich würde bei backdoor-befall grundsätzlich neuaufsetzen.

Oh nein...
Kann ich diese tolle Kombi irgendwo so wieder loswerden? vorerst mal, also dass das Zeug mir keinen weiteren Schaden anrichtet?
Das mit dem formatieren krieg ich auf jeden Fall nicht selber hin und werd wohl dann nächste Woche nen Kumpel damit belästigen und hoffen, dass er mir das macht...
Ich hab auf meinem eigenen USB-Stick Fotos bekommen und dann kam gleich die Warnung, aber ich hab den Ordner nicht mal geöffnet gehabt, sondern habe als erstes Antivir drüber laufen lassen... Wie kann das sein, dass ich dann trotzdem den Mist krieg?!

hallo,
auf dem usb-stick ist eine autorun.inf, die den wurm auf deinen rechner
kopiert hat. diesen stick vorerst nicht benutzen.
wir können eine bereinigung versuchen, allerdings empfehle ich,
danach, so schnell wie möglich, das system neuaufzusetzen.
(das ist nicht schwierig, siehe hier http://www.trojaner-board.de/51262-n...sicherung.html)
bitte wende das an
combofix
http://www.trojaner-board.de/51187-m...i-malware.html
und poste combofix.txt und das anti-malware-log.

Also combofix hab ich schonmal durch, hier das log dazu:

ComboFix 08-04-22.5 - Tina 2008-04-23 20:26:55.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Tina\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-23 bis 2008-04-23 ))))))))))))))))))))))))))))))
.

2008-04-23 20:17 . 2008-04-23 20:17 <DIR> d-------- C:\Programme\CCleaner
2008-04-21 07:11 . 2008-04-21 07:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz
2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll
2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\clauth2.dll
2008-04-21 07:11 . 2008-04-21 07:11 1,025 --a------ C:\WINDOWS\system32\clauth1.dll
2008-04-21 07:11 . 2008-04-21 07:11 219 --a------ C:\WINDOWS\system32\lsprst7.tgz
2008-04-21 07:11 . 2008-04-21 07:11 87 --a------ C:\WINDOWS\system32\ssprs.tgz
2008-04-21 07:10 . 2008-04-21 22:22 <DIR> d-------- C:\Programme\Müller Foto
2008-04-12 19:09 . 2008-04-13 13:51 <DIR> d-------- C:\Programme\Black & White
2008-04-10 02:12 . 2008-04-10 02:12 4,128 --a------ C:\INFCACHE.1
2008-03-26 21:18 . 2008-03-26 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\gtk-2.0
2008-03-26 21:16 . 2008-04-11 19:12 <DIR> d-------- C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\.purple
2008-03-26 21:14 . 2008-03-26 21:15 <DIR> d-------- C:\Programme\pidgin
7 Datei(en) . 11,694,048 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-20 20:37 6,944 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-19 14:40 --------- d-----w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Skype
2008-04-19 14:14 --------- d-----w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\skypePM
2008-04-14 18:26 --------- d-----w C:\Programme\Teachmaster
2008-04-12 18:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-24 17:22 --------- d-----w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\MyPhoneExplorer
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-01 17:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-01-16 17:53 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-07-06 18:36 38,616 ----a-w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-06-13 13:21 77,824 ---ha-w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe
2006-11-24 10:29 0 ----a-w C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\wklnhst.dat
2004-07-26 01:16 598,086 ----a-w C:\Programme\DVD Shrink 3.2.exe
2006-05-06 16:42 7,260,160 ----a-w C:\Programme\mozilla firefox\plugins\libvlc.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"ClocX"="C:\Dokumente und Einstellungen\Tina\Eigene Dateien\lustig\ClocX\ClocX.exe" [2004-01-21 15:42 103936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 20:49 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 20:46 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 20:50 114688]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 23:30 282624 C:\WINDOWS\stsystra.exe]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 14:59 385024]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 18:48 761947]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-06-29 12:13 1032192]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 10:44 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 10:44 81920]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 05:20 122940]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 17:11 262401]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27 312320]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-24 08:40 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-09-15 00:20:11 24576]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-09-15 00:20:11 24576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"waults"= C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\waults.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 16:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=C:\WINDOWS\pss\Status Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--------- 2005-05-17 17:42 933888 C:\Programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport]
--a------ 2006-07-16 21:29 389120 C:\Programme\Dell Support\DSAgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
--a------ 2005-11-01 03:12 94208 C:\Programme\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2005-03-17 17:01 40960 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ModemOnHold]
--------- 2003-09-10 02:24 20480 C:\Programme\NetWaiting\netwaiting.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKDetectorExe]
C:\Programme\McAfee\SpamKiller\MSKDetct.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2005-03-17 16:39 57393 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-10-23 22:18 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--------- 2005-01-26 18:02 49152 C:\Programme\Brother\Brmfl05a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 15:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 10:22 155648 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-11-24 08:40 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AdminSVC"=2 (0x2)
"Brother XP spl Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Bluetooth-USB-Stick\\BlueSoleil.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Black & White\\runblack.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol
"10426:UDP"= 10426:UDP:SingleClick ICC

R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;C:\WINDOWS\system32\DRIVERS\hnm_wrls_pkt.sys [2006-01-12 22:27]
R2 wsppkt;Wireless Security Protocol;C:\WINDOWS\system32\DRIVERS\wsp_pkt.sys [2006-01-12 22:29]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-23 20:29:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-23 20:31:33
ComboFix-quarantined-files.txt 2008-04-23 19:31:23

11 Verzeichnis(se), 14,993,424,384 Bytes frei
14 Verzeichnis(se), 15,002,136,576 Bytes frei

188 --- E O F --- 2008-04-08 19:11:58


Das andere folgt hoffentlich zugleich...

Ok, der Scan dauert wohl dann wahrscheinlich noch länger...
Im Moment sinds schonmal 8 infizierte Objekte..
Noch ne andere Frage zu dem Stick: kann das ein Versehen gewesen sein, dass der Virus auf dem Stick gelandet ist, also verbreitet er sich so selbst oder muss das Absicht gewesen sein?
Diejenigen, von denen ich die Dateien aufm Stick hab (es waren nur Fotos) haben beide ein (it-?!)technisches Studium hinter sich und ich hätte eigentlich gedacht, dass die sich mit sowas auskennen müssten..
Und bringt eine Systemwiederherstellung in diesem Fall etwas?! Ok, die Frage hört sich schon beim Stellen blöd an, aber könnte ja vtl sein.. Hab nämlich zufällig erst letzte Wochen einen erstellt und der Stick samt Virus kam erst gestern abend rein...

dein stick ist von dem rechner infiziert worden, in den er eingesteckt war.
wenn du ausschließen kannst, daß der besitzer des rechners das
mutwillig gemacht hat, ist davon auszugehen, daß es unbewußt geschehen ist
und dieser rechner ebenfalls infiziert ist.
systemwiederherstellung hilft leider nicht.

Zitat:

also verbreitet er sich so selbst oder muss das Absicht gewesen sein?

Bifrost verbreitet sich nicht selber, es war Absicht.

Zitat:

Diejenigen, von denen ich die Dateien aufm Stick hab (es waren nur Fotos) haben beide ein (it-?!)technisches Studium hinter sich und ich hätte eigentlich gedacht, dass die sich mit sowas auskennen müssten..

sicherlich kennen sie sich aus, bloß Wissen kann man so oder so anwenden.
Ich weiß, dass weiblich Opfer begehrt sind, aber dass nur nebenbei.

Vertraue nicht zuviel,
Heike

Zitat:

Bifrost verbreitet sich nicht selber, es war Absicht.

in diesem fall imho doch, siehe eine vergleichbare beschreibung hier
WORM_AUTORUN.FW - Technical details

Dankeschön euch zwein!
Also kann es wohl beides gewesen sein, Absicht oder Zufall...
Naja, bin einfach froh, wenn ich das Zeugs wieder los hab... der Scan läuft ja im Moment noch.. wenigstens sinds noch nicht mehr geworden... :-)
@Boston: Vielen Dank für die schnelle und kompetente Hilfe!!!
Ich bin in sowas einfach ne totale Niete und mehr als regelmäßig Antivir durchlaufen zu lassen hab ich in solchen Dingen nicht drauf... ;-)

Hier die andere Logfile:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 675

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 129325
Scan Dauer: 2 hour(s), 22 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.